Thought Leadership
Die Europäische Kommission hat eine App zur Online-Altersüberprüfung vorgestellt und Sicherheitsexperten fanden innerhalb von Stunden gravierende Schwachstellen.
Mit großem Tamtam präsentierte EU-Kommissionspräsidentin Ursula von der Leyen in Brüssel eine neue App zur Altersverifikation im Netz. Das Tool soll Minderjährige vor sozialen Netzwerken und anderen nicht-jugendfreien Seiten schützen. „Es ist vollständig Open Source. Jeder kann den Code prüfen“, sagte von der Leyen. Sicherheitsforscher taten genau das und bereuten es nicht.
Sicherheitsberater Paul Moore meldete sich noch am selben Tag zu Wort: Er habe die App in unter zwei Minuten gehackt. Sensitive Daten würden ungeschützt auf dem Gerät des Nutzers gespeichert, schrieb er in einem vielgeteilten Post auf X. Der französische White-Hat-Hacker Baptiste Robert bestätigte die Befunde und erklärte gegenüber Politico, dass sich die biometrische Authentifizierung der App vollständig umgehen lässt, also PIN-Eingabe und Touch ID gleichermaßen.
Die Kommission reagierte zunächst mit dem Hinweis, dass Hacker eine ältere „Demo-Version“ getestet hätten und die Lücke sei bereits geschlossen. Allerdings betonten sowohl Moore als auch Blazy, sie hätten die zum Testzeitpunkt neueste verfügbare Version des Codes auf GitHub untersucht.
„Fertig“ oder doch Demo?
Kommissionssprecher Thomas Regnier ruderte am Freitag zurück: „Wenn wir sagen, es ist eine finale Version, dann ist es … noch eine Demo-Version.“ Chefsprecherin Paula Pinho blieb bei der Linie, dass die App technisch bereit sei, räumte aber ein, sie könne „immer verbessert werden“.
Entwickelt wurde die App von der schwedischen Digital-Identity-Firma Scytáles und der Deutschen Telekom, die einen EU-Auftrag über 4 Millionen Euro gewonnen hatten. Nutzer können ihr Alter über Reisepass, Personalausweis oder Bankkonten verifizieren. Plattformen erhalten dabei nur eine Ja/Nein-Antwort auf die Frage, ob jemand alt genug ist. Das sogenannte Zero-Knowledge-Proof-Verfahren soll die Privatsphäre schützen.
Politischer Druck, technische Skepsis
Der politische Hintergrund ist klar: Frankreich, Deutschland, Italien und andere EU-Staaten drängen auf Altersbeschränkungen in sozialen Netzwerken. Australien hatte Ende 2024 als erstes Land weltweit ein faktisches Verbot für unter 16-Jährige auf Plattformen wie TikTok und YouTube eingeführt.
Doch mehr als 400 Sicherheits- und Datenschutzexperten hatten die Kommission im März in einem offenen Brief aufgefordert, ein Moratorium zu verhängen, bis wissenschaftlicher Konsens über Nutzen und Risiken von Altersverifikationstechnologien bestehe. EU-Parlamentarierin Markéta Gregorová von der Tschechischen Piratenpartei kritisierte, der Prozess werde „unter politischem Druck übereilt“ vorangetrieben.
